拠点間接続が必要なケース
本社と支店、本社と工場、本社とデータセンター——複数拠点を持つ企業では、拠点間で安全にデータをやり取りする仕組みが不可欠です。ファイルサーバーへのアクセス、基幹システムの利用、内線電話の統合、バックアップの転送など、拠点間通信の用途は多岐にわたります。
しかしクラウドシフトにより状況は変わりつつあります。M365やSaaSが業務の中心になると、拠点間通信よりもインターネットへの出口帯域が重要になります。接続方式の選定にはこの変化を考慮する必要があります。
接続方式の比較
| 方式 | 月額目安/拠点 | 帯域 | セキュリティ | 導入期間 | 適したケース |
|---|---|---|---|---|---|
| インターネットVPN | 0〜3万円 | 回線速度に依存 | 暗号化(IPsec/SSL) | 1〜2週間 | コスト重視の中小企業 |
| IP-VPN(閉域網) | 3〜15万円 | 保証帯域あり | 閉域網(インターネットを経由しない) | 2〜4週間 | 安定性・セキュリティ重視 |
| SD-WAN | 3〜10万円 | 複数回線の束ね利用 | 暗号化+アプリ制御 | 2〜4週間 | クラウド利用が多い企業 |
| 専用線 | 10〜100万円 | 契約帯域を100%保証 | 物理的に分離された専用回線 | 1〜3ヶ月 | 金融・医療等の高セキュリティ要件 |
インターネットVPN
最もコストが低い接続方式です。各拠点のUTM/ルーター間でIPsecトンネルを構築し、インターネット回線上に暗号化された仮想トンネルを作ります。
メリット
- 既存のインターネット回線を活用するため追加回線費用が不要
- UTM/ルーターの設定だけで構築可能。導入が早い
- FortiGate同士なら簡単にサイト間VPNを構築できる
デメリット
- インターネット回線の品質に依存。帯域保証がない
- 回線混雑時に速度低下やパケットロスが発生する
- 拠点数が増えるとフルメッシュ構成の管理が複雑に
FortinetはFortiOS 7.6.x以降でSSL-VPNのサポートを段階的に廃止する方針を発表しています。SSL-VPN機器の脆弱性を悪用した攻撃が急増していることが背景です。FortiGateでリモートアクセスVPNを構築している場合は、IPsec VPNへの移行、またはZTNA(FortiSASE / FortiZTNA)への移行を計画する必要があります。長期的にはVPN自体をZTNAに置き換えるアプローチが推奨されます。
IP-VPN(閉域網)
通信キャリアが提供する閉域ネットワークを利用する方式です。インターネットを経由しないため、セキュリティと品質が高い接続を実現します。
| キャリア | サービス名 | 特徴 |
|---|---|---|
| NTT東西 | フレッツ・VPNワイド | フレッツ回線ベース、低コスト |
| NTTコミュニケーションズ | Arcstar Universal One | SLA付き、グローバル対応 |
| KDDI | KDDI Wide Area Virtual Switch | 高い冗長性、モバイル統合 |
| ソフトバンク | SmartVPN | クラウド接続オプション充実 |
SD-WAN
SD-WAN(Software-Defined WAN)は、複数の回線(インターネット、IP-VPN、LTE等)をソフトウェアで統合管理し、アプリケーションに応じて最適な経路を自動選択する技術です。
SD-WANのメリット
- ローカルブレイクアウト:M365やSaaSの通信を本社経由ではなく各拠点から直接インターネットに出すことで、回線負荷を分散
- アプリケーション制御:Teams会議は高品質回線、Web閲覧は低コスト回線に自動振り分け
- 集中管理:全拠点のWAN設定をクラウドの管理画面から一括管理
- コスト最適化:高額なIP-VPNを安価なインターネットVPN+SD-WANに置き換え
| SD-WAN製品 | 特徴 |
|---|---|
| Fortinet SD-WAN | FortiGateに統合。UTM+SD-WANを1台で実現 |
| Cisco Meraki SD-WAN | クラウド管理型、ゼロタッチ展開 |
| VMware SD-WAN(VeloCloud) | エンタープライズ向け、高度なQoS制御 |
専用線
物理的に分離された専用の通信回線です。帯域が100%保証され、他の通信の影響を受けません。金融機関の基幹システム接続やデータセンター間接続で利用されます。
中小企業で専用線が必要なケースは限定的ですが、M&A後の拠点統合時に一時的に大帯域の拠点間接続が必要な場合に検討されることがあります。
クラウド時代のWAN設計
業務がM365やSaaS中心なら、従来のハブ&スポーク型(全拠点→本社→インターネット)ではなく、各拠点から直接インターネットに出る「ローカルブレイクアウト」+SD-WANの構成が最適です。本社のインターネット回線がボトルネックになる問題を根本的に解決します。
まとめ
拠点間接続は「インターネットVPN(コスト重視)→ IP-VPN(品質重視)→ SD-WAN(クラウド最適化)→ 専用線(最高セキュリティ)」の4択です。クラウドシフトが進んだ企業はSD-WANのローカルブレイクアウトが最も効果的です。リモートアクセスについては、SSL-VPNの脆弱性リスクの高まりを受け、最終的にはZTNA(ゼロトラストネットワークアクセス)への移行を見据えた計画を進めましょう。